Criar e gerenciar um catálogo de recursos no gerenciamento de direitos
Este artigo mostra como criar e gerenciar um catálogo de recursos e pacotes de acesso no gerenciamento de direitos.
Criar um catálogo
Um catálogo é um contêiner de recursos e pacotes de acesso. Você cria um catálogo quando deseja agrupar recursos relacionados e acessar pacotes. Um administrador pode criar um catálogo. Além disso, um usuário delegado à função de criador de catálogo pode criar um catálogo para recursos de sua propriedade. Um não-administrador que cria o catálogo torna-se o primeiro proprietário do catálogo. Um proprietário de catálogo pode adicionar mais usuários, grupos de usuários ou entidades de serviço de aplicativo como proprietários de catálogo.
Para criar um catálogo:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o criador do catálogo. Os usuários aos quais foi atribuída a função de Administrador de Usuários não poderão mais criar catálogos ou gerenciar pacotes de acesso em um catálogo que não possuem. Se os usuários em sua organização receberam a função de Administrador de Usuário para configurar catálogos, pacotes de acesso ou políticas no gerenciamento de direitos, você deve, em vez disso, atribuir a esses usuários a função de Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Catálogos.
Selecione Novo catálogo.
Insira um nome exclusivo para o catálogo e forneça uma descrição.
Os usuários veem essas informações nos detalhes de um pacote de acesso.
Se desejar que os pacotes de acesso neste catálogo estejam disponíveis para os usuários solicitarem assim que forem criados, defina Habilitado como Sim.
Se você quiser permitir que usuários em diretórios externos de organizações conectadas possam solicitar pacotes de acesso neste catálogo, defina Habilitado para usuários externos como Sim. Os pacotes de acesso também devem ter uma política que permita que usuários de organizações conectadas solicitem. Se os pacotes de acesso neste catálogo se destinarem apenas a usuários que já estão no diretório, defina Habilitado para usuários externos como Não.
Selecione Criar para criar o catálogo.
Criar um catálogo programaticamente
Há duas maneiras de criar um catálogo programaticamente.
Criar um catálogo com o Microsoft Graph
Você pode criar um catálogo usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All
, ou um aplicativo com a permissão de EntitlementManagement.ReadWrite.All
aplicativo, pode chamar a API para criar um catálogo.
Criar um catálogo com o PowerShell
Você também pode criar um catálogo no PowerShell com o New-MgEntitlementManagementCatalog
cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.2.0 ou posterior.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
Adicionar recursos a um catálogo
Para incluir recursos em um pacote de acesso, os recursos devem existir em um catálogo. Os tipos de recursos que você pode adicionar a um catálogo são grupos, aplicativos e sites do SharePoint Online.
Os grupos podem ser Grupos do Microsoft 365 criados na nuvem ou grupos de segurança do Microsoft Entra criados na nuvem.
Os grupos originários de um Ative Directory local não podem ser atribuídos como recursos porque seus atributos de proprietário ou membro não podem ser alterados na ID do Microsoft Entra. Para conceder a um usuário acesso a um aplicativo que usa associações de grupo de segurança do AD, crie um novo grupo de segurança no ID do Microsoft Entra, configure o write-back do grupo para o AD e permita que esse grupo seja gravado no AD, para que o grupo criado na nuvem possa ser usado por um aplicativo baseado em AD.
Os grupos que se originam no Exchange Online como grupos de distribuição também não podem ser modificados na ID do Microsoft Entra, portanto, não podem ser adicionados a catálogos.
Os aplicativos podem ser aplicativos corporativos Microsoft Entra, que incluem aplicativos SaaS (software como serviço), aplicativos locais e seus próprios aplicativos integrados ao Microsoft Entra ID.
Se seu aplicativo ainda não foi integrado ao Microsoft Entra ID, consulte Governar o acesso para aplicativos em seu ambiente e integrar um aplicativo com o Microsoft Entra ID e adicionar o aplicativo ao seu diretório antes de adicioná-lo ao catálogo.
Para obter mais informações sobre como selecionar recursos apropriados para aplicativos com várias funções, consulte como determinar quais funções de recurso incluir em um pacote de acesso.
Os sites podem ser sites do SharePoint Online ou conjuntos de sites do SharePoint Online.
Nota
Pesquisar Site do SharePoint pelo nome do site ou uma URL exata, pois a caixa de pesquisa diferencia maiúsculas de minúsculas.
Funções de pré-requisito: consulte Funções necessárias para adicionar recursos a um catálogo.
Para adicionar recursos a um catálogo:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Catálogos.
Na página Catálogos, abra o catálogo ao qual deseja adicionar recursos.
No menu à esquerda, selecione Recursos.
Selecione Adicionar recursos.
Selecione o tipo de recurso Grupos e Equipes, Aplicativos ou Sites do SharePoint.
Se não vir um recurso que pretende adicionar ou se não conseguir adicionar um recurso, certifique-se de que tem a função de diretório e a função de gestão de direitos do Microsoft Entra necessárias. Talvez seja necessário que alguém com as funções necessárias adicione o recurso ao seu catálogo. Para obter mais informações, consulte Funções necessárias para adicionar recursos a um catálogo.
Selecione um ou mais recursos do tipo que você deseja adicionar ao catálogo.
Quando terminar, selecione Adicionar.
Esses recursos agora podem ser incluídos em pacotes de acesso dentro do catálogo.
Adicionar atributos de recurso no catálogo
Os atributos são campos obrigatórios aos quais os solicitantes são solicitados a responder antes de enviarem sua solicitação de acesso. Suas respostas para esses atributos são mostradas aos aprovadores e também estampadas no objeto de usuário no ID do Microsoft Entra.
Nota
Todos os atributos configurados em um recurso exigem uma resposta antes que uma solicitação de um pacote de acesso contendo esse recurso possa ser enviada. Se os solicitantes não fornecerem uma resposta, a solicitação não será processada.
Para exigir atributos para solicitações de acesso:
Selecione Recursos no menu à esquerda e uma lista de recursos no catálogo será exibida.
Selecione as reticências ao lado do recurso onde você deseja adicionar atributos e, em seguida, selecione Exigir atributos.
Selecione o tipo de atributo:
- Built-in inclui atributos de perfil de usuário do Microsoft Entra.
- A extensão de esquema de diretório fornece uma maneira de armazenar mais dados em usuários do Microsoft Entra. Você pode estender o esquema criando um atributo extension. Esses atributos de extensão em objetos de usuário podem ser usados para enviar declarações para aplicativos durante o provisionamento ou logon único.
Se você escolher Built-in, selecione um atributo na lista suspensa. Se você escolher Extensão de esquema de diretório, digite o nome do atributo na caixa de texto.
Nota
O atributo User.mobilePhone é uma propriedade confidencial que pode ser atualizada apenas por alguns administradores. Saiba mais em Quem pode atualizar atributos de usuário confidenciais?.
Selecione o formato de resposta que você deseja que os solicitantes usem para a resposta. Os formatos de resposta incluem texto curto, escolha múltipla e texto longo.
Se você selecionar múltipla escolha, selecione Editar e localizar para configurar as opções de resposta.
- No painel Exibir/editar pergunta exibido, insira as opções de resposta que você deseja dar ao solicitante quando ele responder à pergunta nas caixas Valores de resposta.
- Selecione o idioma da opção de resposta. Você pode localizar as opções de resposta se escolher mais idiomas.
- Introduza quantas respostas necessitar e, em seguida, selecione Guardar.
Se desejar que o valor do atributo seja editável durante atribuições diretas e solicitações de autoatendimento, selecione Sim.
Nota
- Se você selecionar Não na caixa O valor do atributo é editável e o valor do atributo estiver vazio, os usuários poderão inserir o valor desse atributo. Depois de salvar, o valor não pode ser editado.
- Se você selecionar Não na caixa O valor do atributo é editável e o valor do atributo não estiver vazio, os usuários não poderão editar o valor preexistente durante atribuições diretas e solicitações de autoatendimento.
Se quiser adicionar localização, selecione Adicionar localização.
No painel Adicionar localizações para pergunta, selecione o código de idioma para o idioma no qual você deseja localizar a pergunta relacionada ao atributo selecionado.
No idioma que você configurou, insira a pergunta na caixa Texto Localizado.
Depois de adicionar todas as localizações necessárias, selecione Salvar.
Depois que todas as informações de atributos forem concluídas na página Exigir atributos , selecione Salvar.
Adicionar um site do SharePoint Multi-Geo
Se você tiver o Multi-Geo habilitado para SharePoint, selecione o ambiente do qual deseja selecionar sites.
Em seguida, selecione os sites que deseja adicionar ao catálogo.
Adicionar um recurso a um catálogo programaticamente
Você também pode adicionar um recurso a um catálogo usando o Microsoft Graph. Um usuário em uma função apropriada, ou um proprietário de catálogo e recurso, com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All
pode chamar a API para criar um resourceRequest. Um aplicativo com a permissão EntitlementManagement.ReadWrite.All
do aplicativo e permissões para alterar recursos, como Group.ReadWrite.All
, também pode adicionar recursos ao catálogo.
Adicionar um recurso a um catálogo com o PowerShell
Você também pode adicionar um recurso a um catálogo no PowerShell com o New-MgEntitlementManagementResourceRequest
cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. O exemplo a seguir mostra como adicionar um grupo a um catálogo como um recurso usando o módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
Remover recursos de um catálogo
Você pode remover recursos de um catálogo. Um recurso pode ser removido de um catálogo somente se não estiver sendo usado em nenhum dos pacotes de acesso do catálogo.
Funções de pré-requisito: consulte Funções necessárias para adicionar recursos a um catálogo.
Para remover recursos de um catálogo:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Catálogos.
Na página Catálogos, abra o catálogo do qual deseja remover recursos.
No menu à esquerda, selecione Recursos.
Selecione os recursos que deseja remover.
Selecione Remover. Opcionalmente, selecione as reticências (...) e, em seguida, selecione Remover recurso.
Adicionar mais proprietários de catálogo
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
O usuário que criou um catálogo torna-se o primeiro proprietário do catálogo. Para delegar o gerenciamento de um catálogo, adicione usuários à função de proprietário do catálogo. Adicionar mais proprietários de catálogo ajuda a compartilhar as responsabilidades de gerenciamento de catálogo.
Para atribuir um usuário à função de proprietário do catálogo:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de privilégios mínimos que podem concluir essa tarefa incluem o proprietário do catálogo.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Catálogos.
Na página Catálogos, abra o catálogo ao qual pretende adicionar administradores.
No menu à esquerda, selecione Funções e administradores.
Selecione Adicionar proprietários para selecionar os membros para essas funções.
Selecione Selecionar para adicionar esses membros.
Editar um catálogo
Você pode editar o nome e a descrição de um catálogo. Os usuários veem essas informações nos detalhes de um pacote de acesso.
Para editar um catálogo:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o criador do catálogo.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Catálogos.
Na página Catálogos, abra o catálogo que deseja editar.
Na página Visão geral do catálogo, selecione Editar.
Edite o nome, a descrição ou as configurações habilitadas do catálogo.
Selecione Guardar.
Excluir um catálogo
Você pode excluir um catálogo, mas somente se ele não tiver nenhum pacote de acesso.
Para excluir um catálogo:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o criador do catálogo.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Catálogos.
Na página Catálogos, abra o catálogo que deseja excluir.
Na página Visão geral do catálogo, selecione Excluir.
Na caixa de mensagem exibida, selecione Sim.
Excluir um catálogo programaticamente
Você também pode excluir um catálogo usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All
pode chamar a API para excluir um accessPackageCatalog.
Próximos passos
Delegar a governança de acesso aos gerenciadores de pacotes de acesso